pfSense® CE 2.1 note di rilascio

Questa pagina contiene il riassunto delle innovazioni, aggiunte e migliorie di pfSense® CE 2.1 Release. Questa nuova versione porta molte nuove funzionalità.
Il più grande cambiamento è il supporto IPv6 in molte parti del sistema. Ci sono anche una serie di correzioni di bug, e migliorie in generale.

La versione 2.1 di pfSense® CE è basata sul Sistema Operativo FreeBSD 8.3 che si porta dietro svariate migliorie come il supporto a nuovi driver.

Da sottolineare che la versione pfSense® CE 2.2 Release verrà sviluppata sulla base di Free BSD 10.X. Questo ci permetterà di sviluppare delle nuove piattaforme hardware.

Tornando alla versione 2.1 Release, i punti salienti su cui gli sviluppatori si sono concentrati nel rilascio della nuova versione di pfSense® CE 2.1 sono i seguenti:

  • Supporto IPv6
  • Gestione Pacchetti
  • OS FreeBSD 8.3 / Binary / Supporto Aggiornamenti
  • Dashboard & General GUI
  • Captive Portal
  • Gestione dell’OS / System
  • Gestione Multi-WAN
  • Protocollo NTP
  • Protocollo PIsec
  • Gestione OpenVPN
  • NAT / Firewall Rules / Alias
  • Gestione Certificati
  • Gestione Registrazione
  • Notifiche
  • Alta Affidabilità (CARP, pfsync, XML-RPC)
  • Sistema NanoBSD
  • DHCP Server
  • Traffic Shaper (limitatore di banda)
  • Inoltro DNS
  • User Manager
  • DynDNS
  • Grafici
  • Altro ancora…

Se volete vedere ogni singolo cambiamento e funzionalità potete cliccare sul link seguente: https://doc.pfsense.org/index.php/2.1_New_Features_and_Changes

Aggiornamenti di sicurezza

Sono tre gli avvisi di sicurezza di FreeBSD applicabili alle versioni precedenti di pfSense® CE. Queste 3 vulnerabilità non possono essere sfruttate da remoto in sé e per sé, ma chiunque sia in grado di eseguire codice arbitrario sul firewall potrebbe utilizzare uno o più di queste vulnerabilità per aumentare i privilegi.

FreeBSD-SA-13: 13.nullfs
FreeBSD-SA-13: 12.ifioctl.asc
FreeBSD-SA-13: 09.ip_multicast.asc

Supporto IPv6

Il supporto IPv6 rappresenta una delle principali migliorie di questa versione.
La gestione IPv6 è stata aggiunta a molte aree della GUI. Almeno le seguenti aree / funzioni sono abilitati per IPv6.

  • Alias (Firewall) – Alias può contenere sia IPv4 che IPv6, indirizzi rilevante solo per una data regola saranno utilizzati
  • CARP RA
  • CARP Failover
  • DHCP Server w/Prefix Delegation
  • SLAAC WAN
  • 6to4 WAN
  • 6to4 WAN w/Prefix Delegation
  • 6rd WAN
  • 6rd WAN w/Prefix Delegation
  • Dhcp6 WAN
  • Dhcp6 WAN w/Prefix Delegation
  • DHCPv6 relè
  • Inoltro DNS
  • Regole firewall
  • Gateway Gruppi / Multi-WAN
  • Stato Gateway (apinger)
  • GIF Tunnels
  • GRE Tunnels
  • GUI di accesso
  • IPsec
  • L2TP
  • Network Prefix Traduzione (TNP)
  • NTP
  • OpenVPN
  • Packet Capture
  • PPPoE WAN
  • Router Advertisements
  • Routing
  • LB Server
  • IP statico
  • Syslog (remoto)
  • Limitatori (tubi Dummynet)
  • IP virtuali – Alias IP
  • Virtuale IP – CARP
  • DNS da RA
  • Accetta RA per l’inoltro
  • Auth tramite RADIUS
  • Auth tramite LDAP
  • XMLRPC Sync
  • Grafici RRD
  • DHCP Static Mapping – Works by DUID
  • DynDNS (HE.net hosting DNS, RFC2136, personalizzato)
  • MAC OUI database lookup support for NDP and DHCPv6. (Già presente per il lease DHCP e tabella ARP) richiede il pacchetto nmap da installare per attivare

NOTA per gli aggiornamenti: A differenza dei precedenti snapshot, BETA, ecc, Al momento non abilita la casella di controllo “Consenti IPv6” durante l’aggiornamento, questo per preservare il comportamento esistente del firewall. Per attivare il traffico IPv6, un utente dovrà abilitare le impostazioni manualmente.

Pacchetti

  • PBI (Push Button Installer) sul pacchetto di supporto – tutti i file e le dipendenze di un pacchetto sono mantenuti in una posizione isolata in modo che i pacchetti non possono interferire tra loro.
  • RIP (routing) si è trasferito a un pacchetto
  • Olsrd è stato spostato in un pacchetto
  • Nessun pacchetto potrà tornare alla versione precedente (sarà tentata nuovamente l’integrazione nella 2.2)
  • E’ stata aumentata la verbosità del processo di reinstallazione del pacchetto durante le operazioni di reinstallazione.

OS di base / Binary / Supporto Aggiornamenti

  • Sviluppato sulla base di FreeBSD 8.3
  • Driver Atheros aggiornati
  • OpenSSL 1.0.1e (o successiva) utilizzato da OpenVPN, PHP, IPsec, ecc
  • PHP ver. 5.3.x
  • OpenVPN ver. 2.3.x
  • Modulo del kernel MPS Aggiunto
  • Aggiunto modulo del kernel AHCI
  • Driver ixgbe aggiornato
  • Molti altri pacchetti di supporto sono stati aggiornati

Dashboard & General GUI

  • Grafica sviluppata con jQuery
  • Migliorata la navigazione e lo stato di servizio nella GUI (icone di collegamento in ogni sezione per accedere rapidamente alle configurazioni, registri, stato, servizi di controllo, ecc)
  • Supporto di più lingue, una traduzione per lo più completa per il portoghese brasiliano è stata inclusa.
  • Read-only: supporta un utente con che non può modificare config.xml
  • Controllo di aggiornamento: sulla Dashboard può essere disabilitata
  • Incongruenze: tema fisso tra il modulo di login e in altre parti della GUI.
  • Varie correzioni pagine: ridurre la potenziale a determinati vettori CSRF / XSS
  • Aggiornato CSRF Magia
  • Set CSRF Magia token timeout: per essere lo stesso della scadenza login
  • Aggiunto IE Mobile per WP8 alla lista dei browser che ottengono un tema alternativo al login
  • Tronca stato del servizio in modo che le descrizioni dei pacchetti quando troppo lunghe non possono rompere la formattazione della tabella di stato.
  • Molte correzioni al codice HTML / XHTML per migliorare la resa.
  • Aggiunta di una nota per la configurazione guidata. L’utente può cancellare la nota in qualsiasi momento facendo clic su l’immagine del logo.
  • Per chi fa l’aggiornamento dashboard: controllare il rispetto nanobsd-vga
  • Firewall registra Widget filtraggio e modifiche delle colonne
  • Parametro totali: aggiunto per alcuni widget per Dashboard (memoria, swap, uso del disco)
  • Display del cruscotto cambiato per stati e Mbuf di essere metri, e per mostrare l’utilizzo in percentuale
  • Aggiornamento dashboard mbuf conteggio tramite AJAX
  • Mostra un conteggio e la layout della CPU nel cruscotto, se vengono rilevati più CPU

Captive Portal

  • Multi instance Captive Portal
  • Fonti di autenticazione RADIUS multiple per il Captive Portal (ad esempio una per gli utenti, uno per le schede).
  • Logic fixes for voucher encryption .
  • Molte ottimizzazioni per l’elaborazione Captive Portal, tra cui un database di backend e riscrittura di funzioni in linguaggio php per migliorare la velocità.
  • Ottimizzazione dei privilegi di Captive Portal per gli utenti.
  • Aggiungi controlli per assicurarsi che il timeout del CP è inferiore o uguale tempo di lease di default del server DHCP. Questo per evitare problemi con le sessioni CP con indirizzi IP corretti.
  • Correzioni per la connessione al Captive Portal su HTTPS con una porta personalizzata
  • Correzioni per i file di Captive Portal personalizzati lasciando i collegamenti simbolici nel filesystem dopo che i file sono stati rimossi
  • Aggiunto il supporto MAC OUI ricerca nel database di stato del CP (richiede pacchetto nmap per essere installato).

Gestione del sistema e Sistema Operativo

  • Possibilità di selezionare la velocità della porta seriale
  • Aggiunta una modalità manuale per abilitare TRIM se qualcuno ne ha bisogno
  • Aggiunto uno switch manuale per forzare un fsck al riavvio
  • Supporto AES-NI (funzione di acceleratore crittografico su nuove CPU Intel / AMD) – ancora in fase sperimentale quindi non supportata ancora da alcune aree del sistema operativo.
  • Aggiunto il supporto di alcuni sensori termici tramite ACPI, coretemp, e amdtemp.
  • Il l’avvisatore acustico di avvio può essere disabilitato
  • Impostazione powerd separata per quando viene usato con una batteria.
  • Aggiungere capacità opzionale per modificare le dimensioni dei dischi RAM per / var / e / tmp / per i sistemi che hanno RAM da risparmiare.
  • Aggiungere capacità opzionale per le installazioni complete che utilizzano dischi RAM per / var / e / tmp / come si fa con NanoBSD. Riduce le scritture globali sui dischi, dovrebbe essere più SSD-friendly.
  • Utilizzare un sysDescr personalizzato per SNMP simile al formato di m0n0wall.
  • Aggiunto sintonizzabile per consentire la disattivazione net.inet.udp.checksum – disabilitazione dei checksum UDP può migliorare le prestazioni, ma possono anche avere effetti collaterali negativi
  • Aggiunto un database mtree con le autorizzazioni corrette di default, che viene utilizzato per verificare i permessi dei file post-installazione e post-aggiornamento.
  • APC non viene abilitato per PHP a meno che il sistema ha più di 512 MB di RAM. Questo viene fatto per ridurre l’utilizzo della memoria su sistemi con poca RAM.

Multi-WAN

  • DynDNS failover multi-WAN
  • IPsec failover multi-WAN
  • OpenVPN failover multi-WAN
  • Testo delle descrizioni modificate dei valori per il monitoraggio del gateway
  • Schermo apinger (demone di monitoraggio gateway) come servizio quando è abilitato.
  • Correzioni per apinger per ricaricare tramite SIGHUP correttamente, al fine di evitare inutili riavvii e perdita di dati di stato del gateway
  • “State Killing on Gateway Failure” ora uccide tutti gli stati in cui un gateway è stato rilevato come DOWN, non solo gli stati sulla mancanza di WAN. Questo viene fatto perché altrimenti gli stati lato LAN (LAN-side) non sono stati uccisi prima, e quindi alcuni collegamenti potrebbero rimanere in un limbo, in particolare le connessioni SIP.
  • A causa del cambiamento nel suo comportamento, “State Killing on Gateway Failure” è disattivato per default in nuove configurazioni ed è disabilitata durante l’aggiornamento. Se si desidera attivare la funzione, si dovrà riattivarla manualmente.

NTP

  • NTP daemon now has GPS support

IPsec

  • More IPsec hash algorithms and DH key groups added, “base” negotiation mode added
  • Mobile IPsec supports separate “split DNS” field and doesn’t just assume the default domain for split DNS domains
  • Properly ignore disabled IPsec phase 2 entries
  • NAT before IPsec (1:1 or many:1) outbound
  • Set default Proposal Check setting to Obey for mobile IPsec
  • LDAP and RADIUS are now possible authentication sources for IPsec mobile xauth
  • Delete the SPDs for an old IPsec entry when it is disabled or removed
  • Manage active SPDs on CARP secondary during sync
  • Add an option to force IPsec to reload on failover, which is needed in some cases for IPsec to fail from one interface to another.

OpenVPN

  • OpenVPN can accept attributes from RADIUS via avpairs for things like inacl, outacl, dns-server, routes
  • OpenVPN checkbox for “topology subnet” to use one IP per client in tun mode
  • OpenVPN local/remote network boxes can accept multiple comma-separated networks
  • OpenVPN status for SSL/TLS server instances can now display the routing table for the VPN instance
  • OpenVPN now allows selecting “localhost” as the interface
  • Gateways are created for assigned OpenVPN server instances as well as clients
  • OpenVPN instances can run on the same port on different interfaces
  • OpenVPN status page now has service controls to show the status of the daemon running each instance, and allow for stop/start/restart from that page
  • Changed wording of the error displayed when a daemon is not running or the management interface of OpenVPN cannot be reached for an instance
  • OpenVPN client-specific Override cleanup fixes
  • Fixed double-click to edit of OpenVPN Client-Specific Overrides

NAT/Firewall Rules/Alias

  • Aliases separated into tabs for Hosts, Ports, and URLs to improve manageability
  • NAT reflection options re-worded to be less confusing
  • Adjustable source tracking timeout for Sticky connections
  • Firewall rules now support matching on ECE and CWR TCP flags
  • Filtering on ECE and CWR TCP flags is now possible
  • Added ICMP to protocol list when creating rdr (port forward) rules
  • Keep proper positioning of duplicated outbound NAT rules
  • When using the + at the top of Outbound NAT rules, add the rule to the top of the list and not the bottom
  • Fix ordering of interface group rules in the ruleset
  • Track time and user@host which created or updated a firewall, NAT port forward, or outbound NAT rule. If timestamp records are present, display them at the bottom of the rule page when editing. Have the created time/user pre-filled for automated rules such as NAT port forward associated rules and the switch from automatic to manual outbound NAT
  • Fix generation of manual outbound NAT rules so that localhost and VPN rules are not unnecessarily duplicated
  • Prevent using “block” for an alias name, as it is a pf reserved keyword
  • Allow TCP flags to be used on block or reject rules, since they are also valid there
  • Updates/fixes to DSCP handling
  • Allow advanced options state-related parameters to be used for TCP, UDP and ICMP — Formerly only allowed on TCP
  • Respect ports found in rules when policy route negation rules are made
  • Do not include disabled OpenVPN networks in generated policy route negation rules

Certificates

  • Improved denoting of certificate purposes in the certificate list
  • Imported CRLs can be edited and replaced
  • Can set digest algorithm for CA/Certs (sha1, sha256, etc)
  • Default digest algorithm is now SHA256
  • Show CA and certificate start and end dates in the their listings
  • Correct tooltip description when adding a certificate
  • Relax input validation on a CA/Cert description since it is only used cosmetically in pfSense® CE and not in the actual CA/cert subject
  • Allow removing blank/empty CA and Cert entries

Logging

  • More system log separation, Gateways, Routing, Resolver split into their own tabs
  • Firewall logs can now be filtered by many different criteria
  • Firewall logs can be sorted by any column
  • Firewall logs can optionally show the matching rule description in a separate column or in between rows
  • Firewall logs now show an indicator icon if the direction of a log entry is OUT rather than IN
  • Add popup DNS resolution method to firewall log view
  • Reduced logging output from IGMP proxy
  • Reduced logging output from DynDNS
  • Relocated filterdns logs to the resolver log file/tab
  • Relocated DHCP client logs to the DHCP tab
  • Fix system script logging so the correct script filename is printed in the log, rather than omitting the script name entirely
  • Add independent logging choices to disable logging of bogon network rules and private network rules. Add upgrade code to obey the existing behavior for users (if default block logging was disabled, so is bogon/private rule blocking)
  • Add a checkbox to disable the lighttpd log for people who don’t want their system log full of messages from lighttpd in some cases where they are filling the log unnecessarily

Notifications

  • Add the ability to disable Growl or SMTP notifications but keep their settings intact, so the mail settings can be used for other purposes (packages, etc)
  • Add a test button to selectively test Growl or SMTP notifications without re-saving settings
  • Do not automatically generate a test notification on saving notification settings, as there are now individual test buttons

High Availability (CARP, pfsync, XML-RPC)

  • High Availability Synchronization options (Formerly known as “CARP Settings” under Virtual IPs Promoted to its own menu entry, System > High Avail. Sync
  • This is to make it easier to find, as well as make its purpose more clear. “CARP” is a part of High Availability, as is XMLRPC/pfsync state synchronization, but it’s a bit of a misnomer to refer to the sync settings as CARP
  • Ensure that the user does not remove only the last IP alias needed for a CARP VIP in an additional subnet
  • Disable pfsync interface when state synchronization is not in use
  • Fixed issues with DHCP server config synchronization ordering on secondary nodes
  • Restart OpenVPN servers when CARP transitions to master (clients were already restarted), otherwise if CARP was disabled, the servers would never recover
  • Removed the automatic pfsync rule, since the documentation always recommends adding it manually, and to add it behind the scenes with no way to block it can be counter-productive (and potentially insecure). If you did not follow the documentation and add your own pfsync or allow all rule on the sync interface, your state synchronization may break after this upgrade. Add an appropriate rule to the sync interface and it will work again.
  • Allow XMLRPC to sync IP Alias VIPs set to Localhost for their interface
  • In DHCP leases view, use the internal interface name (lan/opt1/etc) for the failover pool name, rather than a number. In certain cases the number can get out of sync between the two nodes, but the interface names will always match
  • Print the user-configured interface description next to the DHCP failover pool name, rather than only the internal name (lan/opt1/etc)
  • Add option to synchronize authentication servers (RADIUS, LDAP) via XMLRPC

NanoBSD

  • Fixes for conf_mount_ro/conf_mount_rw reference checking/locking
  • Diag > NanoBSD now has button to switch media between read/write and read-only
  • Diag > NanoBSD now has a checkbox option to keep the media read/write
  • Fixed an issue with NanoBSD time zones not being properly respected by all processes the first reboot after a firmware upgrade

DHCP Server

  • DHCP can support multiple pools inside a single subnet, with distinct options per pool
  • DHCP can allow/deny access to a DHCP pool by partial (or full) MAC address
  • DHCP static mappings can have custom settings for gateway, DNS, etc
  • DHCP static mappings can optionally have a static ARP entry created
  • Fix Dynamic DNS updates from DHCP (ISC changed the config layout and requires zone declarations)
  • When crafting DHCP Dynamic DNS zones, do not use invalid DNS servers for the IP type (e.g. skip IPv6 DNS servers, because the DHCP daemon rejects them)
  • Added a config backup section choice for DHCPv6

Traffic Shaper

  • Schedules can now be used with limiters
  • Traffic shaper queues view updated
  • CoDel AQM Shaper Discipline
  • Allow PRIQ queues to be deleted.
  • Limiters now allow the user to set the mask they want to use, rather than assuming masking will always be per-IP. This allows per-subnet limits and similar
  • Limiters now allow setting masking for IPv6
  • Limiters now allow setting a burst size. This will pass X amount of data (TOTAL, NOT a rate) after an idle period before enforcing the limit

DNS Forwarder

  • In DNS forwarder, DNS query forwarding section with options for sequential and require domain
  • Allow a null forwarding server in DNS Forwarder domain overrides to ensure that queries stay local and never go outside the firewall
  • Add DNS Forwarder option to not forward private reverse lookups
  • DNS Forwarder domain overrides can now specify a source address for the query, to help resolve hostnames over VPN tunnels
  • DNS Forwarder now can change the port upon which it listens, for better cohabitation with other DNS software such as tinydns or unbound, if both are needed
  • DNS Forwarder now has an option to select the interfaces/IP Addresses upon which it will respond to queries
  • DNS Forwarder can now be set to only bind to specific IPv4 IPs (the underlying software, dnsmasq, does not support selectively binding to IPv6 IPs)
  • Improved handling of some dnsmasq custom config options

User Manager

  • Configurable RADIUS authentication timeout in User Manager
  • Print the error message from LDAP in the log for a bind failure. Helps track down reasons for authentication failures
  • Re-enable admin user if it’s disabled when ‘Reset webConfigurator password’ option is used.
  • Restrict maximum group name length to 16 characters or less (OS restriction)
  • Added option to UTF-8 encode LDAP parameters to improve handling of international characters
  • CDATA protected LDAP fields in config to avoid invalid XML with international characters

DynDNS

  • Fixed handling of DynDNS 25-day update and add ability to configure update interval
  • Added DynDNS No-IP Free Account Support
  • Add AAAA support to RFC2136 updates
  • Add cached IP support to RFC2136, add GUI button to force update for single host
  • Fix double click row to edit for RFC2136
  • Add option to RFC2136 to find/use the public IP if the interface IP is private. (Off by default to preserve existing behavior on upgrade)
  • Add server IP column and cached IP display to RFC2136 host list
  • Include RFC2136 hosts in DNS rebinding checks
  • Include both dyndns and RFC2136 hosts in referer check

Graphs

  • Add ability to reverse-resolve IPs on Status > Traffic Graph in the rate table
  • Add ability to filter local or remote IPs on Status > Traffic Graph in the rate table
  • Change maximum values for RRD throughput to account for 10G links. Previous maximums would have caused blank spots on the graph during periods of high throughput
  • Fixes to RRD data resolution/retention
  • Added RRD Graph for mbuf clusters
  • Changed default RRD graph colors to be more visually distinct to help avoid ambiguity between multiple values on the same graph

Misc

  • Add option to the packet capture page to control whether or not promiscuous mode is used on the NIC. Rarely, NICs can have issues with promiscuous mode
  • Make parent interface and all VLANs share MTU
  • Fix cellular signal strength indicator
  • Fix PPP config cleanup when removing an interface
  • Disallow adding IP Alias or CARP VIP that would be the network or broadcast address of a subnet
  • Diagnostics > Sockets page to show open network sockets on the firewall
  • Diagnostics > Test Port page to perform a simple TCP connection test to see if a port is open
  • The pftop page has additional options to display more detailed information and sort it
  • Fixed conflict between static IP and static route in the same subnet
  • Do not apply static ARP entries to disabled interfaces
  • Do not allow bridge members to be assigned to itself
  • Changed Diag > Ping to use more available source addresses (CARP VIPs, IP Alias VIPs, OpenVPN interfaces, IPv6 Link-Local IPs)
  • Changed Diag > Traceroute to use more available source addresses (CARP VIPs, IP Alias VIPs, OpenVPN interfaces, IPv6 Link-Local IPs)
  • Changed shell prompt to not force background color, to be kinder to those not using black as a background in their terminal
  • Add a field to allow rejecting DHCP leases from a specific upstream DHCP server.
  • Updated the help system to handle some recent added files for 2.x and clean out some old/obsolete files
  • Allow selecting “Localhost” as an interface for IP Alias VIPs – this way you can make IP Alias VIPs for binding firewall services (e.g. Proxy, VPN, etc) in routed subnets without burning IPs for CARP unnecessarily
  • Updated list of mobile service providers
  • Fix max length for WPA passphrase. A 64-char passphrase would be rejected by hostapd and leave an AP in an open state
  • Added MSS clamping to the setup wizard
  • Add a setting to configure the filterdns hostname resolution interval (defaults to 300s, 5 minutes)
  • Omit IP mismatch warnings (e.g. behind a port forward, VPN IP, etc) if HTTP_REFERER protection is disabled
  • Fixes for selecting/detecting PPP devices such as 3G/4G modems
  • Rather than doing auto-detection to find serial PPP devices, use a glob when listing potential PPP serial devices
  • Prevent sshlockout from a crash/coredump if a format string like %s is present in the buffer
  • Fix SMART to see adaX devices
  • Fix SMART interpretation of output from SCSI devices
  • Fixed display of user SSH keys when present
  • Updated p0f database from FreeBSD
  • Fix UPnP Interface name selection to show the configured description entered by the user
  • Allow setting the external UPnP interface (must be default route WAN)
  • Fix Diag > Tables AJAX fadeOut after deletion for rows with CIDR mask format
  • Improve Diagnostics > Routes to fetch output via AJAX and have configurable filtering and sizes. Improves handling of large routing tables, such as a full BGP feed
  • When deleting or renaming a virtual server from the Load Balancer (relayd) manually clean up the NAT rules it leaves behind to avoid conflicts
  • Many, many bug fixes
  • Various fixes for typos, formatting, input validation, etc

SH/PHP Shell Scripts

  • Git package for gitsync is now pulled in as a pfSense® CE-style PBI package
  • Added playback shell scripts added to enable/disable CARP
  • Added playback shell scripts to add and remove packages from the command line
  • Added playback shell script to remove shaper settings
  • Added playback shell script to control services from the command line
  • Add a simple CLI mail script capable of sending an SMTP message using echo/piped input. (Uses SMTP notification settings for server details)
  • Added a script to convert a user’s filesystem from device names to UFS labels, for easier portability in case the disk device changes names (e.g. adX to adY, adX to daY, or adX to adaX). ONLY FOR FULL INSTALLS. NanoBSD already uses labels

Download di pfSense® CE 2.1

Upgrade Information

  • As always, upgrade information can be found in the Upgrade Guide.

Questo documento è stato preso dal sito pfSense® CE e l’originale si trova
a questo indirizzo.